Ma machine a été attaquée par un cheval de Troie qui s'est manifesté comme un service dans le processus netsvcs svchost. Ce processus peut être identifié à l'aide de Process Explorer comme «svchost -k netsvcs».
Les symptômes que j'avais indiquant que ma machine avait été infectée étaient:
-
1. En utilisant ethereal, je pouvais voir le trafic HTTP non-stop de ma machine vers différents sites Web tels que ESPN et des streamers de musique en ligne.
-
2. Généralement, dans un délai de 10 à 15 minutes, le Dr Watson affiche une boîte de dialogue indiquant que le processus hôte générique a échoué.
-
3. Process Explorer a indiqué que le processus «svchost -k netsvcs» prenait 100% de CPU.
-
4. Les fichiers dans C: \ Documents and Settings \ NetworkService \ Local Settings \ Temporary Internet Files \ Content.IE5 ont été verrouillés par le processus 'svchost -k netsvcs'.
Voici ce que j'ai fait pour déterminer exactement quel service était le coupable.
La liste des services que Windows exécutera au démarrage dans le conteneur netsvcs svchost peut être obtenue à cet emplacement de registre: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs . Chaque chaîne de la valeur MULTI_REG_SZ est le nom d'un service situé dans: HKLM \ SYSTEM \ CurrentControlSet \ Services .
Pour chaque service répertorié dans netsvcs, j'ai créé une entrée distincte dans SvcHost, puis mis à jour ImagePath du service pour indiquer sous quel svchost le service doit maintenant être exécuté.
Par exemple - pour exécuter le service AppMgmt sous son propre svchost, nous ferions ce qui suit:
-
1. Sous SvcHost, créez une nouvelle valeur multi-chaîne nommée 'appmgmt' avec la valeur 'AppMgmt'.
-
2. Sous SvcHost, créez une nouvelle clé nommée 'appmgmt' avec les valeurs identiques à celles sous 'netsvcs' (généralement REG_DWORD: AuthenticationCapabilities = 12320 et REG_DWORD: CoInitializeSecurityParam = 1).
-
3. Sous CurrentControl \ Services \ AppMgmt, modifiez ImagePath en% SystemRoot% \ system32 \ svchost.exe -k appmgmt.
J'ai suivi la procédure ci-dessus sur tous les services d'une trentaine d'années exécutés sous netsvcs. Cela m'a permis de déterminer exactement quel service était responsable des symptômes énumérés ci-dessus. Connaître le service était alors facile en utilisant Process Explorer pour déterminer quels fichiers le service a verrouillés et chargés et quelles entrées de registre il a utilisées. Ayant toutes ces données, c'était une étape simple pour supprimer le service de ma mmachine.
J'espère que ce message est utile à quelqu'un d'autre affecté par un processus svchost infecté.